• говно сру в панамку разработчикам x.509v3, которые не предусмотрели возможности привязать сертификат к сервису и для которых весь SSL/TLS на одно лицо

Replies (8)

  • @ArkanoiD, а смысл?
  • @solhov, смысл в том, что, например, я могу хотеть иметь констрейны, которые позволят, скажем, этим CA подписывать всякую лабудень для IP-телефонии, но быть уверенным, что эти сертфикаты ни один злыдень не сможет использовать для веб-сервера (например)
  • @ArkanoiD, имя в днс по которому откликается сервис/проверка OID/Enhanced Key Usage ?
  • @ArkanoiD, вопрос все тот же — а смысл?
  • @Dant, для EKU весь SSL на одно лицо. а забацать свой OID для сервиса обычно ни одна сука не соображает
  • @solhov, предположим, я хочу аутсорсить третьей стороне какой-то левый сервис. и выдать, соотетственно, сертификат. сервис не вебовый и хочется не давать возможности сделать веб-сервис с тем же именем с использованием этого сертификата.
  • @ArkanoiD, выдай с другим именем. и вообще, если тебе голова позволяет аутсорсить использование сертификата — не парься. либо не аутсорсь
  • @ArkanoiD, вот с этим, кстате, да — есть некое количество полового секса. типа выдать сертификат Client Auth и отделить на уровне проверки сертификата от других, кторые тоже Clent Auth. если по имени развести сервисы нельзя или вилдкард используется.